AWS SAA 問題309-312:ネットワーク ACL
AWS SAA 問題309-312:ネットワーク ACL
問題309:ネットワーク ACL とセキュリティグループのどの組み合わせが多層防御に役立ちますか?
A) ネットワーク ACL はインスタンスレベルで動作し、セキュリティグループはサブネットレベルで動作します。
B) ネットワーク ACL とセキュリティグループの組み合わせは多層防御には役立ちません。
C) ネットワーク ACL とセキュリティグループの両方を定義して、セキュリティ侵害を隔離することができます。
D) ネットワーク ACL とセキュリティグループのいずれかを設定すると、他方は自動的に無効になります。
解答: C) ネットワーク ACL とセキュリティグループの両方を定義して、セキュリティ侵害を隔離することができます。
解説:
ネットワーク ACL とセキュリティグループを組み合わせて使用することで、VPCやサブネットの異なるレベルでのセキュリティを強化し、多層防御を実現できます。これにより、いずれかの制御の設定を誤った場合でも、望ましくないトラフィックに対して追加の保護が提供されます。
問題310:パブリックサブネットを作成するための手順として正しいものはどれですか?
A) インターネットゲートウェイをデタッチし、インターネットバウンドトラフィックのルートをサブネットのルートテーブルから削除します。
B) インターネットゲートウェイをVPCにアタッチし、インターネットバウンドトラフィックのルートをサブネットのルートテーブルに追加します。
C) インスタンスにプライベートIPアドレスを割り当て、セキュリティグループとネットワークACLの設定を確認します。
D) インターネットゲートウェイをVPCにアタッチし、インターネットバウンドトラフィックのルートは自動的に設定されます。
解答解説:
解答:B) インターネットゲートウェイをVPCにアタッチし、インターネットバウンドトラフィックのルートをサブネットのルートテーブルに追加します。
解説:
パブリックサブネットを作成するためには、インターネットゲートウェイをVPCにアタッチし、その後、インターネットバウンドトラフィックをサブネットのルートテーブルに追加する必要があります。これにより、インスタンスがインターネットと通信するための経路が確立されます。
問題311:VPC 内のサブネットに関連付ける必要があるセキュリティレイヤーはどれですか?
A) インターネットゲートウェイ
B) ネットワーク ACL
C) ルートテーブル
D) エラスティック IP アドレス
解答解説:
解答:B) ネットワーク ACL
解説:
VPC 内の各サブネットには、ネットワーク ACL を関連付ける必要があります。ネットワーク ACL は、サブネットのインバウンドとアウトバウンドのトラフィックを制御するファイアウォールとして機能します。ネットワーク ACL には、インバウンドとアウトバウンドのルールが個別に設定されており、トラフィックの許可や拒否を管理するために使用されます。
問題312:ネットワーク ACL に関する正しいまとめはどれですか?
A) ネットワーク ACL はステートフルであり、デフォルトでインバウンドとアウトバウンドのトラフィックを許可します。
B) ネットワーク ACL はセキュリティグループと同様にインスタンス単位で動作します。
C) ネットワーク ACL はサブネット単位で動作し、明示的なルールが不要です。
D) ネットワーク ACL はステートレスであり、インバウンドとアウトバウンドのトラフィック両方に明示的なルールが必要です。
解答:D) ネットワーク ACL はステートレスであり、インバウンドとアウトバウンドのトラフィック両方に明示的なルールが必要です。
解説:
ネットワーク ACL はステートレスなので、リクエストが処理された後に関連情報は保持されません。したがって、インバウンドとアウトバウンドの両方のトラフィックに対して明示的なルールを設定する必要があります。